Partage de clés entre plusieurs serveurs principaux

Les périphériques communiqueront uniquement avec les serveurs principaux et de consolidation pour lesquels ils possèdent un fichier de certificat approuvé correspondant. Par exemple, supposons que vous avez trois serveurs principaux, chacun gérant 5 000 périphériques. Vous disposez également d'un serveur de consolidation qui gère les 15 000 périphériques. Chaque serveur principal dispose de ses propres certificats et clé privée et, par défaut, les agents de périphérique que vous déployez à partir de chaque serveur principal communiquent uniquement avec le serveur principal à partir duquel le logiciel de périphérique est déployé.

Deux méthodes permettent de partager des clés entre plusieurs serveurs principaux et de consolidation :

  1. Distribution du certificat de confiance de chaque serveur principal (fichier <hash>.0) aux périphériques et à leurs serveurs principaux respectifs. Cette méthode est la plus sécurisée.
  2. Copie de la clé privée et des certificats à chaque serveur principal. Cette méthode ne requiert aucune action sur les périphériques mais, dans la mesure où vous devez copier la clé privée, elle présente plus de risques.

Dans notre exemple, pour que le serveur de consolidation et la console Web puissent gérer les périphériques depuis les trois serveurs principaux, vous devez distribuer le certificat de confiance du serveur de consolidation (fichier <hash>.0) vers tous les périphériques et copier ce même fichier vers le répertoire ldlogon de chaque serveur principal. Pour en savoir plus, reportez-vous à la section suivante. Alternativement, vous pouvez copier les fichiers de certificat/clé privée de chacun des trois serveurs principaux vers le serveur de consolidation. De cette manière, chaque périphérique peut trouver la clé privée qui correspond à son serveur principal sur le serveur de consolidation. Pour en savoir plus, reportez-vous à « Copie de fichiers de certificat/clé privée entre plusieurs serveurs principaux ».

Si vous souhaitez qu'un serveur principal puisse gérer les périphériques d'un autre, suivez le même processus, en distribuant le certificat approuvé aux périphériques ou en copiant les fichiers de certificat/clé privée entre les serveurs principaux.

Un problème supplémentaire survient si vous copiez des certificats entre plusieurs serveurs principaux autonomes (et non vers un serveur de consolidation). Un serveur principal ne peut pas gérer les périphériques d'un autre sans effectuer au préalable une analyse d'inventaire de ceux-ci. Pour envoyer des analyses d'inventaire à un autre serveur principal, vous pouvez planifier une analyse d'inventaire avec une ligne de commande personnalisée qui transmet l'analyse au nouveau serveur principal. Dans un scénario à plusieurs serveurs principaux, l'utilisation d'un serveur de consolidation et de la console Web facilite la gestion des périphériques sur les divers serveurs principaux. Les serveurs de consolidation reçoivent automatiquement les données d'analyse d'inventaire de tous les périphériques des serveurs principaux inclus dans la consolidation.